Cisco Port Security

Cisco Port Security это функция управляемого коммутатора, позволяющая указать количество MAC адресов или список MAC адресов устройств сети, которым разрешено передавать данные через указанный порт коммутатора.

Другими словами если MAC адрес отправителя отличается от MAC адреса указанного при настройке Port Security, то данные через порт переданы не будут. Port Security используется для борьбы с подменой MAC адресов и несанкционированным подключением сторонних устройств в сеть.

Итак посмотрим на реализацию Port Security на базе расширенного сегмента сети схемы сети в которой

  1. Устройство p-router01 выполняет роль маршрутизатора (Router) сети и DHCP сервера в подсети 192.168.1.0/24 в Vlan1
  2. Устройство p-acc-sw01 — коммутатор доступа. Это устройство на котором мы и будем настраивать Port Security. к нему как правило подключаются клиенты сети ПК, IP телефония и т.д. 

Настроим на портах Fa0/1-24 коммутатора p-acc-sw01 функцию Port Security таким образом, чтобы максимально на каждом порту было по два любых MAC адреса

p-acc-sw01>en
p-acc-sw01#conf t
p-acc-sw01(config)#int ra fa0/1-24
p-acc-sw01(config-if-range)#switchport mode access 
p-acc-sw01(config-if-range)#switchport port-security maximum 2
p-acc-sw01(config-if-range)#switchport port-security
p-acc-sw01(config-if-range)#ex
p-acc-sw01(config)#

Согласно этой настройке Port Security на каждом порту максимально возможно только два любых MAC адреса. Например MAC от ПК и IP телефона или MAC от HUB и ПК. Как только появится третий MAC, то порт на коммутаторе p-acc-sw01 будет выключен и переведён в статус err-disabled

Проверим. Подключаем к коммутатору p-acc-sw01 к порту Fa0/1 и Fa0/2 по одному устройству, а к порту Fa0/3 подключаем IP телефон и ПК. В итоге на третьем порту (fa0/3) два MAC адреса и порты все включены.

Теперь подключаем к порту Fa0/3 три и более устройств.

Как видим порт сразу же ушел в ошибку err-disabled и выключился.

Теперь изменим конфигурацию Port Security таким образом чтобы на порту было максимально два MAC адреса, но при появлении третьего MAC порт не выключался, а просто отбрасывал данные третьего хоста, т.е. не обслуживал его.

p-acc-sw01#enable 
p-acc-sw01#conf t
p-acc-sw01(config)#interface range fa0/1-24
p-acc-sw01(config-if-range)#switchport port-security violation restrict 
p-acc-sw01(config-if-range)#end
p-acc-sw01#

Проверим что получилось.

Как видим ping идёт только с ноутбука (Laptop0). Это из-за того что у нас ограничение на порту два MAC. Первый MAC от коммутатора, второй MAC от Laptop0. Все остальные отбрасываются. Порт на p-acc-sw01 остаётся включен.

Теперь укажем доверенные MAC адреса, что бы устройства PC2 и PC3 имели доступ в сеть а любым другим доступ был ограничен.

p-acc-sw01#enable 
p-acc-sw01#conf t
p-acc-sw01(config)#int fa0/3
p-acc-sw01(config-if)#
p-acc-sw01(config-if)#switchport port-security mac-address 0002.4A3B.B23C
p-acc-sw01(config-if)#switchport port-security mac-address 00E0.B0D9.666E
p-acc-sw01(config-if)#end
p-acc-sw01#

В итоге должно получиться так, что PC2 и PC3 получат доступ в сеть, Laptop0 не получит даже IP адреса, дополнительный коммутатор Switch1 будет видеть только устройства которые подключены непосредственно к нему, но при этом он не будет видеть все устройства которые обслуживает p-acc-sw01, т.е. дальше порта Fa0/3 на p-acc-sw01 данные уходить не будут.

Что бы посмотреть какие MAC адреса на портах в Port Security можно воспользоваться следующей командой.

p-acc-sw01#sh port-security address

MAC адреса для Port Security бывают:

  • Статические MAC-адреса (задаются командой switchport port-security mac-address mac-address в режиме настройки интерфейса)
    записываются в текущую конфигурацию коммутатора;
  • Динамические MAC-адреса (динамически выучиваются коммутатором)
    удаляются при перезагрузке коммутатора;
  • Sticky MAC-адреса (эти адреса могут быть динамически выучены или статически настроены)
    записываются в текущую конфигурацию коммутатора;

Режимы реагирования на нарушения безопасности

  • protect — порт останется включен, но в ситуации когда на нём будет достигнуто максимальное количество доверенных MAC адресов все остальные MAC адреса будут отбрасываться, причём никаких уведомлений об этом не будет. Если порт в Trunk то этот режим ставить не рекомендуется.
  • restrict — порт останется включен, но в ситуации когда на нём будет достигнуто максимальное количество доверенных MAC адресов все остальные MAC адреса будут отбрасываться. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).
  • shutdown (режим по умолчанию) — порт выключается и переводится в состояние error-disabled, так же выключается и LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown.

Настройка режима реагирования Port Security  на нарушения безопасности

switch(config-if)# switchport port-security violation <protect | restrict | shutdown>

Так же стоит отметить важный момент Port Security можно настроить для Vlan.

Например для порта максимальное количество MAC в Vlan20 равно четырем

p-acc-sw01(config-if)# switchport port-security maximum 4 vlan 20

или например так

p-acc-sw01(config-if)# switchport port-security maximum 2
p-acc-sw01(config-if)# switchport port-security mac-address mac_телефона
p-acc-sw01(config-if)# switchport port-security mac-address mac_телефона vlan voice
p-acc-sw01(config-if)# switchport port-security mac-address mac_компьютера
p-acc-sw01(config-if)# switchport port-security mac-address mac_компьютера vlan access
p-acc-sw01(config-if)# switchport port-security

На этом пожалуй всё. Удачи.


Рейтинг: 0/5 - 0 голосов

Комментарии ()